Let’sEncrypt: Missing command line flag or config entry for this setting

Da ich bemerkt habe, dass sich eines meiner Zertifikate nicht selbst aktualisiert, bin ich vor kurzem beim manuellen aktualisieren meines Zertifikats auf folgendes Problem gestoßen.

Attempting to renew cert (monitoring.oprtr.org) from /etc/letsencrypt/renewal/monitoring.oprtr.org.conf produced an unexpected error: 
Missing command line flag or config entry for this setting:
Input the webroot for monitoring.oprtr.org:. Skipping.
The following certs could not be renewed:
  /etc/letsencrypt/live/monitoring.oprtr.org/fullchain.pem (failure)

Im Prinzip sagt die Meldung aus, dass das Webroot Verzeichnis für den Dienst hinter der Domain nicht richtig angegeben wurde. Im Normalfall ist dieses z.B. unter /var/www/html.

Etwas wunderte mich dies, da die Konfiguration, welche in der Fehlermeldung angezeigt wurde, automatisiert von Certbot erstellt wurde.
Sie sah in meinem Fall wie folgt aus:

# renew_before_expiry = 30 days
version = 0.31.0
archive_dir = /etc/letsencrypt/archive/monitoring.oprtr.org
cert = /etc/letsencrypt/live/monitoring.oprtr.org/cert.pem
privkey = /etc/letsencrypt/live/monitoring.oprtr.org/privkey.pem
chain = /etc/letsencrypt/live/monitoring.oprtr.org/chain.pem
fullchain = /etc/letsencrypt/live/monitoring.oprtr.org/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = ###
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = webroot
rsa_key_size = blub
webroot_path = /var/www/certbot
[[webroot_map]]

Auf den ersten Blick scheint es so, als sei „webroot_path“ richtig angegeben. Anschließend schaute ich mir die Konfiguration einer anderen Domain an. Hierbei fiel mir auf, dass das Webroot Verzeichnis etwas anders definiert wurde.

Ich entfernte die Zeilen:

webroot_path = /var/www/certbot
[[webroot_map]]

Und ersetzte diese mit:

[[webroot_map]]
monitoring.oprtr.org = /var/www/certbot

Anschließend sah meine Konfiguration wie folgt aus:

# renew_before_expiry = 30 days
version = 0.31.0
archive_dir = /etc/letsencrypt/archive/monitoring.oprtr.org
cert = /etc/letsencrypt/live/monitoring.oprtr.org/cert.pem
privkey = /etc/letsencrypt/live/monitoring.oprtr.org/privkey.pem
chain = /etc/letsencrypt/live/monitoring.oprtr.org/chain.pem
fullchain = /etc/letsencrypt/live/monitoring.oprtr.org/fullchain.pem

# Options used in the renewal process
[renewalparams]
account = ####
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = webroot
rsa_key_size = blub
[[webroot_map]]
monitoring.oprtr.org = /var/www/certbot

Nachdem ich meine Konfiguration wie erklärt angepasst habe, konnte ich das Zertifikat erfolgreich erneuern.

Quelle zum Vorschaubild: letsencrypt.org 
Autor:  Let’s Encrypt 
Lizenz:  Creative Commons Attribution-NonCommercial 4.0 International License (CC BY-NC 4.0)

2 Comments

Add a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert